Seguridad sistemas y redes (10)

No. 9 de 9 de articulos. Seguridad Sistemas

Cadenas identificativas y otros recursos (6)

Rastrear redes
Escaneo de puertos con UDP

Este tipo de escaneo se realiza utilizando paquetes de tipo UDP  (User Datagram Protocol) en vez de utilizar paquetes TCP. Los puertos UDP abiertos no realizan contestacion con el flag ACK activado a diferencia de los puertos TCP. Los puertos cerrados UDP no están obligados a responder con un paquete RST activado, pero responden con un mensaje de tipo ICMP_PORT_UNREACHABLE. Al igual que en los dos últimos tipos de escaneos tcp comentados se utiliza para realizar mapeos inversos y deducir así que puertos están abiertos.

Envio con el puerto cerrado

Equipo A ————> UDP ————–> Equipo B

Equipo A <———— ICMP UNREACHABLE <——- Equipo B

Ejemplo con NMAP:

root@ubuntu:~# nmap -sU 192.0.2.1

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-03 11:35 CEST
Interesting ports on 192.0.2.1:
Not shown: 999 closed ports
PORT   STATE         SERVICE
53/udp open|filtered domain
MAC Address: 00:30:DA:XX:XX:XX (Comtrend CO.)

Nmap done: 1 IP address (1 host up) scanned in 1085.72 seconds

Ejemplo con Hping:

root@ubuntu:~# hping3 -V -c 4 -2 -p 2049 192.0.2.1
using eth0, addr: 192.0.2.245, MTU: 1500
HPING 192.0.2.1 (eth0 192.0.2.1): udp mode set, 28 headers + 0 data bytes
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1274 seq=0
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1275 seq=1
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1276 seq=2
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1277 seq=3

--- 192.0.2.1 hping statistic ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.6/250.6/1000.5 ms

Entre las ventajas de este método se puede destacar que es fácil detectar si una maquina esta activa y que puertos udp tiene abiertos, por el contrario se ha de tener privilegios de superusuario para realizar este tipo de escaneo, son bastante lentos y los paquetes que se envían no tienen porque garantizar respuestas positivas, ya que puede ser que se pierdan los paquetes al enviarlos o recibirlos.

[ad#336x280g2010]

Escaneo utilizando el puerto ECHO

El puerto ECHO (No. 7) es un tipo de conexión que los sistemas linux actualmente lo traen cerrado ya que no se utiliza, pero en otros sistemas vienen por defecto activado. Se utiliza para realizar comprobaciones de conexión, es decir si la maquina esta activa o no, actualmente se utiliza ping. Se puede utilizar TCP o UDP para realizar la conexión a este puerto. En cualquiera de los casos la función de este puerto ECHO (Eco) es devolver lo que se le envía, de ahí su nombre. En el caso de TCP se puede utilizar el programa telnet para probar si la maquina esta activa, de hecho la conexión a la maquina destino implica una negociación completa en tres pasos (Treeway-handshaking), lo cual significa que la maquina destino se encuentra en la red.

Ejemplo tcp con telnet:

#telnet 192.168.1.1   7

Trying 192.168.1.1…

Connected to 192.168.1.1.

Escape character is ‘^]’.

Envio de eco

Envio de ecotelnet>close

Ejemplo udp con netcat:

#nc –v –u 192.168.1.1 echo

192.168.1.1: inverse host lookup failed: Unknown host

(UNKNOWN) [192.168.1.1] 7 (echo) open

Envio de prueba

Envio de prueba
Envio de ICMP de tipo ECHO

El protocolo ICMP (Internet Control Message Protocol) es el que informa de posibles errores en la capa de red.  Este tipo de escaneo se puede considerar como la forma mas simple de saber si un equipo responde, ya que se utiliza para realizarlo el conocido comando ping, que genera un mensaje ICMP de tipo echo, al cual también se le llama de tipo 8 o simplemente ping. Al realizar el ping la maquina responde con un mensaje también de tipo ICMP pero esta vez de tipo REPLY, también denominado pong.

Ejemplo utilizando el comando ping:

root@ubuntu:~# ping -c 4 192.0.2.1
PING 192.0.2.1 (192.0.2.1) 56(84) bytes of data.
64 bytes from 192.0.2.1: icmp_seq=1 ttl=255 time=0.559 ms
64 bytes from 192.0.2.1: icmp_seq=2 ttl=255 time=0.562 ms
64 bytes from 192.0.2.1: icmp_seq=3 ttl=255 time=0.553 ms
64 bytes from 192.0.2.1: icmp_seq=4 ttl=255 time=0.566 ms

--- 192.0.2.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2998ms
rtt min/avg/max/mdev = 0.553/0.560/0.566/0.004 ms
Envio ICMP tipo broadcast

Este tipo de envíos o escaneos realizan una petición ICMP de tipo 8 o ping a broadcast , al realizar este tipo de envió al broadcast se esta solicitando respuesta a toda la red de forma que todos los equipos que la componga enviaran respuesta.  Es un tipo de escaneo peligroso también denominado smurf broadcast, ya que puede dar lugar a un bloqueo de la red por colapso.

Ejemplo utilizando el comando hping:

root@ubuntu:~# hping3 -1 -c 5 192.0.255.255
HPING 192.0.255.255 (eth0 192.0.255.255): icmp mode set, 28 headers + 0 data bytes
len=46 ip=192.0.255.255 ttl=32 id=39545 icmp_seq=0 rtt=0.3 ms
DUP! len=46 ip=192.0.3.201 ttl=255 id=25118 icmp_seq=0 rtt=0.4 ms
len=46 ip=192.0.3.201 ttl=255 id=25119 icmp_seq=1 rtt=0.2 ms
DUP! len=46 ip=192.0.255.255 ttl=32 id=39547 icmp_seq=1 rtt=0.2 ms
len=46 ip=192.0.3.201 ttl=255 id=25120 icmp_seq=2 rtt=0.4 ms

--- 192.0.255.255 hping statistic ---
3 packets transmitted, 5 packets received, -66% packet loss
round-trip min/avg/max = 0.2/0.3/0.4 ms

Una de las ventajas a destacar es que en la mayoría de redes Unix/Linux suelen responder a este tipo de petición, por el contrario en redes Windows este tipo de escaneo es omitido por defecto, en redes unix se puede llegar a producir el colapso de la red debido a este tipo de petición, es recomendable configurar o asegurar la red para que no responda a este tipo de peticiones.

envio ICMP tipo 10 o router

Este tipo de envió es el que realizan los routers para que las maquinas de la red detecten su presencia. El router envía mediante multicast o multidifusión (el envió de información en una red a múltiples destinos simultáneamente), una trama ICMP, de esta forma equipos en la red que no hubieran localizado su router darán con el suyo. Este tipo de envió se ha de generar con una aplicación especial, en este caso esta aplicación se denomina icmpush y es bastante fácil de localizar en cualquier distribución linux.

Ejemplo utilizando el comando icmpush:

nacho@ubuntu:~$ sudo icmpush -vv -rts 192.0.3.10
 -> Outgoing interface = 192.0.2.245
 -> ICMP total size = 8 bytes
 -> Outgoing interface = 192.0.2.245
 -> MTU = 1500 bytes
 -> Total packet size (ICMP + IP) = 28 bytes
ICMP Router Solicitation packet sent to 192.0.3.10 (192.0.3.10) 

Receiving ICMP replies ...
icmpush: Program finished OK
Envio ICMP de tipo 13 o marcas de tiempo

Las marcas de tiempo se utilizan como protección para evitar la falsificación de paquetes TCP que alteren la secuencia de conexión, existe un limite de tiempo de espera entre cada paquete de una misma conexión de forma que si se supera este limite de tiempo la conexión queda cancelada. Las marcas de tiempo o timestamps permiten obtener información de las maquinas activas, ya que si se envía una petición de tipo 13 a una maquina esta indicara si esta activa y resolverá también su zona horaria con lo que se puede determinan la zona geográfica a la cual pertenece dicha maquina. Para realizar este tipo de envíos se utiliza también la herramienta mencionada anteriormente denominada icmpush. Los sistemas Unix suelen responder a este tipo de peticiones mientras que los equipos windows no.

Ejemplo utilizando el comando icmpush:

nacho@ubuntu:~$ sudo icmpush -vv -tstamp 192.0.2.1
 -> Outgoing interface = 192.0.2.245
 -> ICMP total size = 20 bytes
 -> Outgoing interface = 192.0.2.245
 -> MTU = 1500 bytes
 -> Total packet size (ICMP + IP) = 40 bytes
ICMP Timestamp Request packet sent to 192.0.2.1 (192.0.2.1)

Receiving ICMP replies ...
192.0.2.1       -> Timestamp Reply transmited at 01:00:00
icmpush: Program finished OK
Envio ICMP de tipo 15

Este envió ya es obsoleto pero algunas versiones de sistema Unix antiguas todavía siguen respondiendo al mismo, al realizar el envió la maquina destino respondía con su dirección de red.

Ejemplo utilizando el comando icmpush:

nacho@ubuntu:~$ sudo icmpush -vv -mask 192.0.2.1
 -> Outgoing interface = 192.0.2.245
 -> ICMP total size = 16 bytes
 -> Outgoing interface = 192.0.2.245
 -> MTU = 1500 bytes
 -> Total packet size (ICMP + IP) = 36 bytes
ICMP Address Mask Request packet sent to 192.0.2.1 (192.0.2.1)

Receiving ICMP replies ...
icmpush: Program finished OK

[ad#enlaces2]

Seguridad Sistemas y Redes (9)

Seguridad Sistemas y Redes (9)

Cadenas identificativas y otros recursos (5)

Dos de las herramientas mas utilizadas para realizar rastreo de redes son: Nmap y Hping. Nmap es uno de los rastreadores de puertos mas utilizados por los responsables de seguridad, existen versiones para varios sistemas operativos entre ellos linux y windows.

Nmap esta disponible a través de la pagina www.insecure.org, siendo la descarga del mismo gratuita, ya que utiliza la licencia GPL. En caso de utilizar linux puede utilizar también para su descarga e instalación el gestor de paquetes de su distribución ya que es un programa muy utilizado en los sistemas linux. Aunque se maneja desde una consola en modo texto, también existen interfaces gráficos para el programa en las diferentes versiones del programa según el sistema operativo.

Hping es otra herramienta muy utilizada en entornos linux, aunque también existe para sistemas windows, proporciona el envío de paquetes de tipo TCP, UDP y ICMP. Permitiendo posteriormente analizar las respuestas obtenidas. La ultima versión del programa se denomina Hping2 y es descargable desde la web de Hping www.hping.org.

Rastrear redes

Muchas de las técnicas de escaneo de redes se basan en en el envío de paquetes tcp con ciertos flags o banderas activados. Para resaltar este apartado veamos un ejemplo de cabecera TCP.

Cabecera-TCP

Banderas (flags) de comunicación de TCP

La comunicación estándar del protocolo de control de transmisión (TCP) es controlada por banderas en la cabecera de los paquetes TCP (TCP Packet Header). Estas banderas gobiernan la conexión entre hosts o computadoras, dándoles instrucciones al sistema.

Las banderas son las siguientes:

1. Synchronize – alias “SYN”, se usa para iniciar una conexión entre hosts o computadoras.
2. Acknowledgement – alias “ACK”, se usa para establecer una conexión entre hosts.
3. Push – alias “PSH”, le indica al sistema recibidor a enviar toda la data almacenada inmediatamente.
4. Urgent – alias “URG”, le indica al sistema que la data contenida en el encabezado (header) se procese de inmediato.
5. Finish – alias “FIN”, le indica al sistema remoto que no hay mas transmisiones.
6. Reset – alias “RST”, se usa para reajustar (reset) la conexión.

Envío TCP de tipo connect()

Esta es la técnica más simple para verificar si un puerto de una maquina esta activo, ya que la función connect() es la que utiliza cualquier programa para conectarse a un puerto TCP, ya que es la forma estándar de establecer una conexión entre dos maquinas.

Envío con el puerto cerrado

Equipo A ————> SYN ————–> Equipo B

Equipo A <———— RST/ACK <——- Equipo B

Envío con el puerto abierto

Equipo A ————> SYN ————–> Equipo B

Equipo A <———— SYN /ACK <——- Equipo B

Equipo A ————> ACK ————–> Equipo B

Entre las ventajas a destacar de este tipo de análisis es que es muy rápido y que no se necesitan privilegios de superusuario o root. Las contramedidas necesarias para evitar este tipo de ataque consiste en una buena configuración del firewall o cortafuegos. Se ha de tener en cuenta que como se establece una conexión entre las dos maquinas es fácilmente detectable.

Un ejemplo de envío de este paquete utilizando Nmap seria el siguiente:

usuario:-# nmap –sT 192.168.1.1

Starting Nmap 5.10BETA1 at 2010-02-07 20:00 Hora estándar romance 

Nmap scan report for 192.168.1.1 

Host is up (0.0067s latency). 

Not shown: 989 filtered ports 

PORT     STATE SERVICE 

25/tcp   open  smtp 

80/tcp   open  http 

110/tcp  open  pop3 

119/tcp  open  nntp 

143/tcp  open  imap 

465/tcp  open  smtps 

563/tcp  open  snews 

587/tcp  open  submission 

993/tcp  open  imaps 

995/tcp  open  pop3s 

1723/tcp open  pptp 

MAC Address: 00:16:B6:XX:XX:XX (Cisco-Linksys) 

Nmap done: 1 IP address (1 host up) scanned in 46.69 seconds

[ad#336x280g2010]

Envío de paquetes TCP SYN

Al enviar un paquete con la bandera SYN activada un puerto que este escuchando, el puerto ha de responder a la petición de conexión. La forma de trabajo de este paquete es enviar un paquete TCP con la bandera SYN activa a un puerto que este escuchando, la maquina destino responderá con otro paquete con SYN/ACK al que la maquina origen no responderá, no finalizando así la conexión.

Envío con el puerto cerrado

Equipo A ————> SYN ————–> Equipo B

Equipo A <———— RST/ACK <——- Equipo B

Envío con el puerto abierto

Equipo A ————> SYN ————–> Equipo B

Equipo A <———— SYN /ACK <——- Equipo B

Equipo A ————> RST ————–> Equipo B

Un ejemplo de envío de este paquete utilizando nmap seria el siguiente:

Starting Nmap 5.10BETA1 ( http://nmap.org ) at 2010-03-01 09:37 Hora estándar romance 

Nmap scan report for 192.0.3.1 

Host is up (0.000032s latency). 

Not shown: 996 closed ports 

PORT     STATE SERVICE 

21/tcp   open  ftp 

23/tcp   open  telnet 

80/tcp   open  http 

1723/tcp open  pptp 

MAC Address: 00:0E:40:XX:XX:XX (Thomson Telecom Belgium) 

Nmap done: 1 IP address (1 host up) scanned in 10.98 seconds

Ejemplo utilizando hping:

root@nacho-desktop:~# hping3 -c 4 -S -p 80 192.0.3.1
  HPING 192.0.3.1 (eth0 192.0.3.1): S set, 40 headers + 0 data bytes

len=50 ip=192.0.3.1 ttl=64 id=39718 sport=80 flags=SA seq=0 win=4096 rtt=1.2 ms
  len=50 ip=192.0.3.1 ttl=64 id=39719 sport=80 flags=SA seq=1 win=4096 rtt=1.2 ms
  len=50 ip=192.0.3.1 ttl=64 id=39720 sport=80 flags=SA seq=2 win=4096 rtt=1.2 ms
  len=50 ip=192.0.3.1 ttl=64 id=39721 sport=80 flags=SA seq=3 win=4096 rtt=1.2 ms 

--- 192.0.3.1 hping statistic ---
  4 packets transmitted, 4 packets received, 0% packet loss

round-trip min/avg/max = 1.2/1.2/1.2 ms

Entre las ventajas de este tipo de análisis se ha de destacar que es un tipo de análisis muy rápido y por otra parte que los paquetes con el flag (bandera) SYN activado suelen pasar más desapercibidos que cualquier otro flag. Por el contrario la desventaja es que se ha de tener permisos de superusuario para generar este tipo de paquetes en linux.

Envío de paquetes por medio de TCP ACK

Al enviar paquetes con este tipo de escaneo se pretende saber si una maquina esta en funcionamiento, mas que para descubrir sus puertos activos. Ya que en cualquier caso la maquina destino siempre va a retornar un paquete con el flag RST, lo cual hace que este indicando su presencia.

Envío con el puerto cerrado

Equipo A ————> ACK ————–> Equipo B

Equipo A <————       RST       <——- Equipo B

Envío con el puerto abierto

Equipo A ————> ACK ————–> Equipo B

Equipo A <—– RST: win<>0 ttl<64 <– Equipo B

Ejemplo utilizando hping:

root@nacho-desktop:~# hping3 -c 4 -A -p 135 192.0.3.1
  HPING 192.0.3.1 (eth0 192.0.3.1): A set, 40 headers + 0 data bytes

len=50 ip=192.0.3.1 ttl=64 id=39556 sport=135 flags=R seq=0 win=0 rtt=1.1 ms
  len=50 ip=192.0.3.1 ttl=64 id=39557 sport=135 flags=R seq=1 win=0 rtt=1.0 ms
  len=50 ip=192.0.3.1 ttl=64 id=39559 sport=135 flags=R seq=2 win=0 rtt=1.0 ms
  len=50 ip=192.0.3.1 ttl=64 id=39560 sport=135 flags=R seq=3 win=0 rtt=1.0 ms

--- 192.0.3.1 hping statistic --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max = 1.2/1.2/1.2 ms 

 

 

Las ventajas de este tipo de escaneo es que se suele utilizar para realizar firewalking,

es decir intentar averiguar cuales son las políticas de reglas de un cortafuegos, dependiendo de las maquinas y puertos que se encuentren detrás del mismo. Una buena contramedida es hacer que el cortafuegos rechace cualquier tipo de conexión que no empiece por un paquete tcp con el flag SYN activado. La  desventaja es que no funciona igual dependiendo del fabricante de software.

Escaneo de puertos mediante TCP SYN ACK

Este tipo de escaneo es variable en su funcionamiento ya que depende de la implementación de la pila TCP de cada fabricante de sistemas operativos. El envío consiste en enviar un paquete TCP con los flag SYN y ACK activados, de esta forma se salta la norma de inicio de conexión de protocolo tcp, cuyo primer paquete ha de ser uno con el flag SYN activado. Si el puerto esta cerrado en la maquina destino se devuelve un paquete con el flag RST y no devolverá nada si el puerto esta abierto, aunque se ha de tener en cuenta que es posible que la conexión este filtrada por un cortafuegos y las respuestas no sean correctas.

Envío con el puerto cerrado

Equipo A ————> SYN/ACK ————–> Equipo B

Envío con el puerto abierto

Equipo A ————> SYN/ACK ————–> Equipo B

Equipo A <———– RST <———————- Equipo B

Ejemplo utilizando hping:

root@nacho-desktop:~# hping3 -c 4 –S -A -p 2049 192.0.3.1
  HPING 192.0.3.1 (eth0 192.0.3.1): SA set, 40 headers + 0 data bytes

len=50 ip=192.0.3.1 ttl=128 id=39556 sport=2049 flags=R seq=0 win=0 rtt=1.1 ms
  len=50 ip=192.0.3.1 ttl=128 id=39557 sport=2049 flags=R seq=1 win=0 rtt=1.0 ms
  len=50 ip=192.0.3.1 ttl=128 id=39559 sport=2049 flags=R seq=2 win=0 rtt=1.0 ms
  len=50 ip=192.0.3.1 ttl=64 id=39560 sport=2049 flags=R seq=3 win=0 rtt=1.0 ms

--- 192.0.3.1 hping statistic --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max = 1.2/1.2/1.2 ms 

Entre las ventajas cabe destacar que este tipo de paquetes puede llegar a pasar a través de cortafuegos o ids sencillos y entre las desventajas se ha de indicar que no es fiable a la hora de determinar los puertos abiertos o silenciosos, también hay familias de sistemas operativos que ignoran este tipo de paquetes como OpenBSD, NetBSD, etc.

Envío de paquetes TCP FIN

El envío con el flag FIN es el ultimo que se envía en una conexión TCP normal, siendo utilizado para cerrar la conexión. Por lo general cuando un puerto cerrado recibe un paquete con el flag FIN activado, responde con un paquete RST contestando que el puerto esta cerrado, en caso de no recibir respuesta se puede deducir que el puerto esta abierto o en modo silencioso (el modo silencioso por definición ignora cualquier tipo de paquete recibido). Utilizando esta información se realiza un mapeo inverso, es decir saber o averiguar todos los puertos cerrados y de esta forma deducir los puertos abiertos. Este tipo de escaneo también conocido como Stealth scan y es uno de los escaneos silenciosos mas conocido.

Envío con el puerto cerrado

Equipo A ————> FIN ————–> Equipo B

Equipo A <———— RST/ACK <—— Equipo B

Envío con el puerto abierto

Equipo A ————> FIN ————–> Equipo B

Ejemplo utilizando Nmap:

root@nacho-desktop:~# nmap –sF 192.0.3.1

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-03 10:42 CET

Interesting ports on 192.0.3.1:

Not shown: 997 filtered ports

PORT   STATE SERVICE

21/tcp open  ftp

23/tcp open  telnet

80/tcp open  http

MAC Address: 00:0E:50:XX:XX:XX (Thomson Telecom Belgium)

Nmap done: 1 IP address (1 host up) scanned in 12.04 seconds

Ejemplo utilizando hping:

root@ubuntu:~# hping3 -c 4 -F -p 777 192.0.2.1
  HPING 192.0.2.1 (eth0 192.0.2.1): F set, 40 headers + 0 data bytes

len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=0 win=0 rtt=0.6 ms

len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=1 win=0 rtt=0.6 ms

len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=2 win=0 rtt=0.5 ms

len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=3 win=0 rtt=0.6 ms 

--- 192.0.2.1 hping statistic ---
  4 packets transmitted, 4 packets received, 0% packet loss

round-trip min/avg/max = 0.5/0.6/0.6 ms

Entre las ventajas a destacar esta que este tipo de paquetes son capaces de atravesar un cortafuegos que filtre paquetes SYN a puertos dirigidos, ya que si pasan los paquetes SYN, lógicamente en algún momento se habrá de cerrar la conexión. Entre sus desventajas están que no es un método fiable ya que puertos que figuren como abiertos es posible que estén en modo silencioso. Otra desventaja de este tipo de paquetes es que en los sistemas windows un puerto cerrado ignora los paquetes FIN, por lo que hacer un escaneo con SYN FIN generara una lista enorme de puertos abiertos aunque estén cerrados o en modo silencioso.

Envío de paquetes TCP NULL Flag

Este tipo de paquetes también se utilizan para realizar un mapeo inverso, ya que consiste en enviar al destino todos los flags (URG,ACK,PSH,RST,SYN,FIN) de un paquete con estado desactivado. De esta forma la maquina destino ha de responder a esta situación con el flag RST si el puerto se encuentra cerrado.

Envío con el puerto cerrado

Equipo A ————> FLAG NULL  ———> Equipo B

Equipo A <————  RST/ACK  <———– Equipo B

Envío con el puerto abierto

Equipo A ————> FLAG NULL ———-> Equipo B

Ejemplo utilizando NMap:

root@ubuntu:~# nmap -sN 192.0.2.1 

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-03 10:31 CEST
  Interesting ports on 192.0.2.1:
  Not shown: 996 closed ports
  PORT   STATE         SERVICE
  21/tcp open|filtered ftp
  22/tcp open|filtered ssh
  23/tcp open|filtered telnet
  80/tcp open|filtered http
  MAC Address: 00:30:DA:XX:XX:XX (Comtrend CO.) 

Nmap done: 1 IP address (1 host up) scanned in 1.98 seconds

Ejemplo utilizando Hping:

root@ubuntu:~# hping3 -c 4 -p 777 192.0.2.1
HPING 192.0.2.1 (eth0 192.0.2.1): NO FLAGS are set, 40 headers + 0 data bytes
len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=0 win=0 rtt=0.6 ms
len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=1 win=0 rtt=0.6 ms
len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=2 win=0 rtt=0.6 ms
len=50 ip=192.0.2.1 ttl=255 DF id=0 sport=777 flags=RA seq=3 win=0 rtt=0.6 ms

--- 192.0.2.1 hping statistic ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.6/0.6/0.6 ms

Entre las ventajas a destacar hay ids que no son capaces de detectar la existencia de este tipo de paquetes, por lo tanto es fácil hacer escaneos sin ser detectados  y como desventajas no funciona igual en todos los fabricantes y si no se recibe respuesta del puerto no quiere decir que este abierto ya que puede estar filtrado.

Envío de paquetes TCP XMAS

Este tipo de envío también es conocido como Christmas (Navidad), y consiste en enviar todos los flags TCP activados (URG,ACK,PSH,RST,SYN,FIN) y su funcionamiento es igual al ataque NULL Flag, en caso de que el puerto este cerrado se recibe una respuesta RST y se utiliza también para realizar mapeos inversos.

Envío con el puerto cerrado

Equipo A ————>  XMAS ———–> Equipo B

Equipo A <——–  RST/ACK  <———– Equipo B

Envío con el puerto abierto

Equipo A ————> XMAS ———-> Equipo B

Ejemplo con Nmap:

root@ubuntu:~# nmap -sX 192.0.2.1

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-03 10:39 CEST
Interesting ports on 192.0.2.1:
Not shown: 996 closed ports
PORT   STATE         SERVICE
21/tcp open|filtered ftp
22/tcp open|filtered ssh
23/tcp open|filtered telnet
80/tcp open|filtered http
MAC Address: 00:30:DA:XX:XX:XX (Comtrend CO.)

Nmap done: 1 IP address (1 host up) scanned in 1.92 seconds

Ejemplo con hping:

root@ubuntu:~# hping3 -c 4 -F -S -R -P -A -U -X -Y -p 777 192.0.2.1
HPING 192.0.2.1 (eth0 192.0.2.1): RSAFPUXY set, 40 headers + 0 data bytes

--- 192.0.2.1 hping statistic ---
4 packets transmitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

Entre las ventajas a destacar hay ids que no son capaces de detectar la existencia de este tipo de paquetes, por lo tanto es fácil hacer escaneos sin ser detectados  y como desventajas no funciona igual en todos los fabricantes y si no se recibe respuesta del puerto no quiere decir que este abierto ya que puede estar filtrado.

Seguridad Sistemas y Redes (8)

No. 7 de 9 de articulos. Seguridad Sistemas

Cadenas identificativas y otros recursos 4

Complementando a las herramientas administración y servicios de internet, existen otras técnicas que permiten detectar maquinas en una red. A este tipo de técnicas junto con las herramientas administrativas se les suele conocer con el nombre de fingerprinting, que viene a significar “huella identificativa”. Esta huella identificativa suele ser para un atacante toda la información de la implementación de pila TCP/IP, esta información permite descubrir de forma bastante fiable el sistema operativo que esta ejecutando la maquina,  esto junto a otras informaciones permiten averiguar las versiones de los servicios que utiliza el servidor, con lo que se puede consultar si existen vulnerabilidades y herramientas para aprovecharse de las mismas.

La mayoría de las técnicas utilizadas para la obtención de huellas identificativas están basadas en la información de la pila del protocolo TCP/IP. El protocolo TCP es un protocolo de la capa de transporte que asegura que el envió de datos sea correcto, es decir que la información recibida se corresponda con la información enviada.

A la hora de realizar una búsqueda de sistemas, podemos distinguir quizás dos partes, la primera seria simplemente detectar si un dispositivo esta activo en una red y la segunda seria examinar las características de dicho dispositivo, como servicios en funcionamiento, puertos abiertos en el dispositivo y sistema operativo que utiliza el mismo. Para realizar estos tipos de análisis se pueden utilizar dos tipos de análisis:

  • Análisis activo: Un análisis activo es aquel que envía información a la red para que los sistemas conectados a la misma, detecten dicha información y respondan en base a dicha información. Según la información obtenida de las respuestas de los diferentes sistemas el programa de análisis utilizado o nosotros mismos podemos realizar las deducciones pertinentes.
  • Análisis pasivo: A diferencia del anterior tipo de análisis, en este tipo de análisis la maquina que quiere realizar el análisis no envía información a la red, sino que “escucha” la información que viaja por la misma y determina los resultados en base a la captura de dicha información. Lógicamente este tipo de análisis es mas difícil de detectar por parte de las maquinas analizadas.

[ad#336x280g2010]

Normalmente un intruso después de haber obtenido información de un sistema, intentara un intento de acceso utilizando técnicas de escaneo, estas acciones tendrán como finalidad conocer los servicios que tiene el sistema como ftp, web, telnet, mail, etc… Estos servicios se interpretan como puertos activos o abiertos en el sistema. La función de saber que puertos están disponibles por parte del  intruso es la de conocer dichos puertos, ya que suelen ser las puertas de entrada al sistema. Si el intruso llegar a conocer el sistema operativo y las versiones de los servicios utilizados, es posible que pueda documentarse sobre alguna vulnerabilidad, herramienta o exploit que permita el acceso a la maquina atacada.

Los puertos disponibles van desde el 1 hasta el 65535 que se pueden clasificar de la siguiente forma:

Puertos estándar: su rango oscila entre el 1 y 1024.

Puertos registrados: su rango oscila entre el 1025  hasta el 49151

Puertos dinámicos: su rango oscila entre el 49152 y el valor 65535

La formas de analizar redes a través de paquetes tcp o udp, se suelen englobar dentro de los análisis activos. Ya que suelen enviar paquetes para determinar que puertos están activos o a la espera de recibir una conexión. Este hecho de cierta forma favorece al encargado de la seguridad del sistema, ya que se puede decir que este tipo de análisis “hacen mucho ruido”, y un sistema de detección de intrusos seria capaz de determinar el ataque y de donde proviene. Aun así ciertas herramientas utilizadas por intrusos son capaces de modificar el ataque para que su detección sea mas problemática por el ids (“sistema de detección de intrusos”), siendo estos distribuidos de la siguiente forma:

Análisis lentos:  el análisis realizado de esta forma consiste en demorar o retardar el tiempo de envió entre paquetes aumentando los tiempos de espera, el análisis durara mucho mas tiempo, pero por otra parte el ids no tendrá claro si es un ataque o un acceso normal.

Análisis de puertos aleatorios: otra forma de realizar este tipo de ataque para que el ids no lo detecte es realizar el análisis de los puertos aleatoriamente y no siguiendo un orden secuencial, que podría “despertar” sospechas al ids, este tipo de ataque se suele combinar con el análisis lento, por parte del atacante su análisis durara mucho mas tiempo, pero no se notara tanto en la maquina atacada.

Análisis distribuidos: Este tipo de análisis consiste en realizar el análisis utilizando varias maquinas distintas, de esta forma y combinando el análisis con los dos anteriores, es prácticamente imposible que el ids detecte el análisis.

Análisis a través de proxy: este tipo de análisis lo realiza la maquina atacante utilizando un proxy, es decir una maquina intermedia que hace de proxy entre la maquina atacada y el atacante, así aun cuando se descubra el ataque se obtendrá información sobre el proxy y no sobre la maquina atacante.

Análisis fragmentación de paquetes:  en análisis de la maquina atacada se realiza enviando paquetes lo suficientemente pequeños para así dividir la información de cabecera del paquete. Así el ids es posible que no sea capaz de reconstruir el paquete fragmentando y por tanto su identificación o detección se vuelve errónea, este tipo de análisis también puede afectar a los cortafuegos o “firewalls”. Como es lógico los paquetes son reconstruidos por la maquina atacada al llegar a la misma. La fragmentación se suele hacer generando trozos pequeños de 8 bytes, de esta forma los flag de cabecera TCP no van en el primer paquete o se envía un paquete fragmentado, que el segundo fragmento tiene desplazamiento negativo, con lo cual al unirlos en el destino se sobrescribe la información del mismo.

Análisis por cebos o señuelos: El envió de señuelos consiste en enviar paquetes a la maquina atacada con direcciones ip falsas y entre una de estas direcciones se envía la verdadera, con lo que el ids cree que no es un ataque y resulta muy difícil que lo detecte.

 

[ad#enlatex2010]

[ad#movil2010]

Seguridad sistemas y redes ( 4 )

No. 4 de 9 de articulos. Seguridad Sistemas

Utilización de herramientas de administración ( 2 )

Host,dig,nslookup

Estos comandos permiten obtener información relativa a los dominios asociados a la organización, así como a las subredes correspondientes. Esta información se obtiene mediante consultas al servicio de nombre de dominios (DNS). Si el servidor que ofrece la información de dominio no esta correctamente configurado, es posible realizar una consulta de transferencia de zona completa, lo que permite obtener toda la información de traducción de direcciones ip a nombres de maquina.

El Domain Name System (DNS) es una base de datos distribuida y jerárquica que
almacena información asociada a nombres de dominio en redes como Internet. DNS es
capaz de asociar a cada nombre de dominio distintos tipos de información, que se
almacena en registros. Los más comunes son los registros de tipo A (que nos indican las
relaciones nombre-IP), CNAME (nombres o alias que tiene esa máquina), MX (servidores
de correo que se deben utilizar para un dominio concreto) y NS (servidores de nombre
asociados), aunque existen otros registros tan curiosos como LOC, que permite introducir
datos sobre la localización geográfica de una máquina sobre la superficie terrestre (latitud
y longitud en grados minutos y segundos) además de otros datos complementarios.
Los usos más comunes son la resolución de nombres, que consiste en la conversión de
nombres de dominio (www.rediris.es) a direcciones IP (130.206.1.2) y la localización de
los servidores de correo electrónico de cada dominio. Otro uso habitual es el proceso de
conversión de direcciones IP (159.237.12.60) a nombres de dominio (www.unav.es),
conocido con el original nombre de resolución inversa.

la sintaxis de los comandos es la siguiente:

host dirección_ip

host nombre_dominio

Las opciones que se pueden utilizar son las siguientes:

-a

Visualiza todos los registros de DNS para el nombre especificado

-C

Visualiza los registros SOA   (Start of Authority, los registros contienen identificadores del servidor de nombres con autoridad sobre la denominación y su operador, así como diversos contadores que regulan el funcionamiento general del sistema de nombres por dominio para la denominación)

-v

resultado detallado por el anfitrión

-d

equivalente a –v

-l

lista de todos los host alojados en un dominio

-W

especifica cuanto tiempo debe esperar una respuesta

-t

se utiliza para seleccionar el tipo de consulta a realizar. CNAME,SOA,NS,etc..

-T

utiliza tcp en vez de utilizar udp

la sintaxis de los comandos es la siguiente:

dig [@servidor DNS] nombre [opciones] [tipo]

El comando dig (Domain information Groper) permite realizar consultas a los servidores DNS, por lo que es útil para comprobar si el DNS esta correctamente configurado en la maquina. Permite tanto el mapeo  de nombres a IP’s como el mapeo inverso  de IP’s a nombres. Solo se utiliza para internet ya que no consulta el archivo /etc/host del sistema.

los parámetros especificados son los siguientes:

[@servidor DNS]

nombre o ip del servidor DNS al que se quiere  dirigir la consulta. si no se utiliza el parámetro se utilizan los servidores ubicados en el archivo /etc/resolv.conf

nombre

nombre de dominio cuya ip se quiere resolver.

[tipo]

tipo de consulta a realizar siendo los valores posibles los siguientes:

A – IP del servidor que aloja al dominio (por defecto)

NS – servidores DNS

MX – servidores de correo

ANY – todas las opciones anteriores

AAAA – IP en IPV6 (si se tiene)

[ad#336x280g2010]

Ejemplos del comando dig:

mapeo de nombres a IP’s

$ dig telefonica.net
;; ANSWER SECTION:
telefonica.net.         10356 IN    A     213.4.130.95

mapeo inverso de IP’s a nombres

$ dig -x 127.0.0.1
;; ANSWER SECTION:
1.0.0.127.in-addr.arpa.  0    IN    PTR     localhost.
$ dig -x 213.4.130.95
;; ANSWER SECTION:
95.130.4.213.in-addr.arpa. 60809 IN PTR  www.telefonica.net.

servidores DNS de un dominio

$ dig telefonica.net. ns
;; ANSWER SECTION:
telefonica.net.         28800 IN    NS    dns2.terra.es.
telefonica.net.         28800 IN    NS    dns1.terra.es.
;; ADDITIONAL SECTION:
dns2.terra.es.          28714 IN    A     213.4.141.1
dns1.terra.es.          28714 IN    A     213.4.132.1

la sintaxis de los comandos es la siguiente:

nslookup

nslookup nombre.del.host

nslookup nombre.del.host –nombre.del.servidor

Es una herramienta que permite consultar un servidor de nombres y obtener información relacionada con el dominio o host y así diagnosticar posibles problemas de configuración que pudieran haber surgido en el DNS.

Si se utiliza sin ningún tipo de argumento el comando muestra el nombre y la ip del servidor de nombres primario y presenta un prompt propio para realizar consultas.

Es posible utilizar el tipo de consulta a realizar utilizando el argumento set de la siguiente forma:

set type=mx

obtiene información relacionada con los servidores de correo de un dominio.

set type=ns

obtiene información del servidor de nombres relacionado al dominio.

set type=a

obtiene información de un host de la red. modo de consulta predeterminado.

set type=soa

muestra la información del campo soa.

set type=cname

muestra información relacionada con el alias.

set type=hinfo

muestra siempre y cuando este disponible información sobre el material y el sistema operativo del host.

Para salir del comando nslookup se ha de teclear la opción exit.

[ad#enlatex2010]

Seguridad Sistemas y Redes ( 3 )

No. 3 de 9 de articulos. Seguridad Sistemas

Utilización de herramientas de administración ( 1 )

Como es lógico, cualquier atacante que pretenda atacar nuestro sistema, ha de tener conocimientos sobre una serie de herramientas que le permitan obtener información sobre el sistema que esta atacando en busca de alguna debilidad. Las siguientes herramientas permiten obtener información sobre el sistema tanto a nosotros como administradores del sistema como a los atacantes.

Ping

Esta herramienta permite comprobar el estado de la conexión de uno o varios equipos remotos utilizando los paquetes de solicitud de eco y de respuesta del mismo (definidos en el protocolo ICMP), de esta forma es posible determinar si un equipo es accesible a través de la red. También se utiliza para medir el tiempo de respuesta ( latencia ) entre dos equipos remotos.

Como curiosidad el nombre de esta utilidad viene dado por el sonar de los submarinos, que enviaban una señal para esperar el eco de la misma y así obtener información. el protocolo utilizado por ping es ICMP que es el acrónimo de Internet Control Message Protocol, este protocolo es el encargado de controlar si existen errores en la comunicación entre dos redes. Para realizar esta acción ICMP envía un mensaje a un destino concreto y dependiendo de lo que suceda con el mensaje el remitente tendrá una respuesta. La respuesta viene determinada por un campo dentro del paquete ICMP que contiene un valor de respuesta, según el valor se determina el diagnostico y el resultado. Los valores de este campo con su significado pueden ser:

0     Respuesta de eco ( Echo Reply )
3     Destino inaccesible ( Destination Unreachable )
4     Disminución del trafico desde el origen ( Source Quench )
5     Redireccionar , cambio de ruta ( Redirect )
8     Solicitud de eco ( Echo )
11   Tiempo excedido por un datagrama ( Time Exceeded )
12   Problema de parámetros ( Parameter problem )
13   Solicitud de marca de tiempo ( Timestamp )
14   Respuesta de marca de tiempo ( Timestamp Reply )
15   Solicitud de información ( Information Request ) – obsoleto
16   Respuesta de información ( Information Reply ) – obsoleto
17   Solicitud de mascara ( Addressmask )
18   Respuesta de mascara ( Addressmask Reply )

La sintaxis del comando es la siguiente:

ping [Opciones] nombre ordenador | dirección ip

Las opciones que se pueden utilizar son las siguientes:

-c cuantos

esta opción para la ejecución del comando cuando se hayan enviado y recibido cierto numero ( cuantos ) de paquetes ECHO_RESPONSE. Si esta opción no se especifica el comando continua enviando hasta que sea interrumpido, por ejemplo con Ctrl + C.

-a

esta opción emite un pitido audible cada vez que envía un paquete.

-i intervalo

esta opción permite especificar el numero de segundos antes de enviar el siguiente paquete de prueba, el valor por defecto es 1 segundo.

-s valor

esta opción permite especificar el numero de bytes de datos que se envían. A este valor hay que sumarle los 8 bytes correspondientes a la cabecera ICMP. El valor por defecto es de 56 bytes.

-q

esta opción solo muestra el resumen final del comando.

[ad#336x280g2010]

Traceroute

Esta utilidad es una herramienta de diagnostico de red que permite trazar la ruta que siguen los paquetes transmitidos desde un punto de red ( host ) a otro punto. Se consigue también información sobre RTT ( Round-Trip delay Time ), que es el tiempo que tarda un paquete enviado desde un emisor en volver al mismo emisor después de haber pasado por el receptor. Este comando es efectivo para realizar un mapa de los routers que se encuentran entre el punto de origen y el punto de destino. Un ejemplo de trazado es el que se muestra a continuación:

user@localhost:/# traceroute www.google.com

  traceroute to www.l.google.com (64.233.169.99), 64 hops max, 40 byte packets
  1  * * *
  2  172.16.183.1 (172.16.183.1)  23 ms  23 ms  22 ms
  3  10.127.66.229 (10.127.66.229) [MPLS: Label 1479 Exp 0]  38 ms  51 ms  38 ms
  4  cnt-00-tge1-0-0.gw.cantv.net (200.44.43.85)  38 ms  38 ms  37 ms
  5  cri-00-pos1-0-0.border.cantv.net (200.44.43.50)  51 ms  43 ms  43 ms
  6  sl-st21-mia-14-1-0.sprintlink.net (144.223.245.233)  94 ms  93 ms  93 ms
  7  sl-bb20-mia-5-0-0.sprintlink.net (144.232.9.198)  95 ms  93 ms  93 ms
  8  sl-crs1-mia-0-4-0-0.sprintlink.net (144.232.2.248)  94 ms  95 ms  95 ms
  9  sl-crs1-atl-0-0-0-1.sprintlink.net (144.232.20.48)  104 ms  104 ms  103 ms
 10  sl-st20-atl-1-0-0.sprintlink.net (144.232.18.133)  104 ms  103 ms *
 11  144.223.47.234 (144.223.47.234)  103 ms  103 ms  103 ms
 12  64.233.174.86 (64.233.174.86)  98 ms  97 ms 64.233.174.84 (64.233.174.84)  103 ms
 13  216.239.48.68 (216.239.48.68)  105 ms  104 ms  106 ms
 14  72.14.236.200 (72.14.236.200)  106 ms *  105 ms
 15  72.14.232.21 (72.14.232.21)  110 ms  109 ms  107 ms
 16  * yo-in-f99.google.com (64.233.169.99)  100 ms  99 ms

El valor de la primera columna es el numero de salto, a continuación se muestra el nombre y dirección IP del nodo por el que pasa, a continuación se muestran tres valores que son los tiempos de respuesta para los paquetes enviados ( en caso de aparecer un símbolo de *, es que no se ha obtenido respuesta ).

este comando envía un paquete UDP de prueba hacia el host destino y hacia un puerto en el que confía que no haya ninguna aplicación esperando datos. Cuando se envía el paquete de prueba la primera vez, el campo TTL (Time-to-live) de la cabecera IP vale 1. El valor de este campo representa el numero máximo de nodos por los que puede circular un paquete. En la practica, cada nodo de la red decrementa en una unidad el campo TTL así que, cuando el paquete de prueba inicial alcance el primer router, el TTL se decrementara y, como el valor de este campo será igual a 0, el paquete habrá de ser descartado. Además, el router enviara a la dirección IP origen del paquete de prueba un paquete ICMP del tipo TIME EXCEEDED.

Cuando el host que esta haciendo el traceroute reciba este paquete de error sabrá que con un TTL igual a 1 no se puede llegar hasta el host destino y además habrá averiguado la dirección IP del primer router en el camino hacia el destino. A continuación, se ira incrementando sucesivamente el valor inicial del campo TTL hasta conseguir que el paquete de prueba alcance el host destino. En ese momento, si efectivamente no hay ninguna aplicación atendiendo al puerto seleccionado, se enviara un mensaje ICMP del tipo PORT UNREACHABLE al host origen del paquete de prueba.

la sintaxis del comando mas básica es la siguiente:

traceroute nombre.de.servidor

A continuación se describen brevemente las principales opciones de este comando:

-f n

con esta opción, se establece el valor inicial del campo TTL en el primer paquete de prueba (valor por defecto: 1).

-m n

con esta opción, se establece el valor máximo del campo TTL que puede utilizarse en los paquetes de prueba (valor por defecto: 30).

-q n

esta opción permite especificar el numero de paquetes de prueba que se envían para cada valor del campo TTL (valor por defecto: 3).

-w s

con esta opción, se fija el tiempo máximo de espera por la respuesta a un paquete de prueba (valor por defecto: 5 segundos).

-p n

de esta forma se puede modificar el numero de puerto base utilizado en los paquetes de prueba (valor por defecto: 33435).  El numero de puerto que se utiliza realmente en los paquetes de prueba se incrementa en una unidad para cada paquete.

-I

con esta opción, en vez de utilizar paquetes UDP de prueba, se utilizan paquetes ICMP.

Whois

Esta utilidad permite realizar una petición a una base de datos en la cual se puede obtener  o determinar el propietario de un nombre de dominio o una dirección IP de internet. Existen dos formas de almacenar la información, el modo “ligero” y el modo “denso”. En el modo denso un servidor almacena toda la información de un conjunto de dominios o IP’s, con lo que es capaz de responder a cualquier consulta sobre un dominio. Mientras que en el modo “ligero”, el servidor guarda el nombre de otro servidor que contiene los datos completos del registrador del mismo. El siguiente ejemplo muestra el resultado de una consulta whois en este caso de wikipedia:

nacho@nacho-desktop:~$ whois wikipedia.org
Domain ID:D51687756-LROR
Domain Name:WIKIPEDIA.ORG
Created On:13-Jan-2001 00:12:14 UTC
Last Updated On:08-Jun-2007 05:48:52 UTC
Expiration Date:13-Jan-2015 00:12:14 UTC
Sponsoring Registrar:GoDaddy.com, Inc. (R91-LROR)
Status:CLIENT DELETE PROHIBITED
Status:CLIENT RENEW PROHIBITED
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Registrant ID:GODA-09495921
Registrant Name:DNS Admin
Registrant Organization:Wikimedia Foundation, Inc.
Registrant Street1:P.O. Box 78350
Registrant Street2:
Registrant Street3:
Registrant City:San Francisco
Registrant State/Province:California
Registrant Postal Code:94107-8350
Registrant Country:US
Registrant Phone:+1.4158396885
Registrant Phone Ext.:
Registrant FAX:+1.4158820495
Registrant FAX Ext.:
Registrant Email:dns-admin@wikimedia.org
Admin ID:GODA-29495921
Admin Name:DNS Admin
Admin Organization:Wikimedia Foundation, Inc.
Admin Street1:P.O. Box 78350
Admin Street2:
Admin Street3:
Admin City:San Francisco
Admin State/Province:California
Admin Postal Code:94107-8350
Admin Country:US
Admin Phone:+1.4158396885
Admin Phone Ext.:
Admin FAX:+1.4158820495
Admin FAX Ext.:
Admin Email:dns-admin@wikimedia.org
Tech ID:GODA-19495921
Tech Name:DNS Admin
Tech Organization:Wikimedia Foundation, Inc.
Tech Street1:P.O. Box 78350
Tech Street2:
Tech Street3:
Tech City:San Francisco
Tech State/Province:California
Tech Postal Code:94107-8350
Tech Country:US
Tech Phone:+1.4158396885
Tech Phone Ext.:
Tech FAX:+1.4158820495
Tech FAX Ext.:
Tech Email:dns-admin@wikimedia.org
Name Server:NS0.WIKIMEDIA.ORG
Name Server:NS1.WIKIMEDIA.ORG
Name Server:NS2.WIKIMEDIA.ORG

La sintaxis mas básica del comando es la siguiente:

whois nombre.servidor

Las opciones mas comunes que se pueden utilizar con el comando son las siguientes:

– a

busca en todas las bases de datos

-F

modo rápido

-h host

se conecta al servidor especificado en host

-H

oculta el aviso legal

-r

desactiva la búsqueda recursiva

–verbose

muestra en pantalla lo que se esta haciendo

–version

muestra la versión del programa

Ejemplos de uso común

whois aprendoencasa.com –H

whois aprendoencasa.com –a –H

[ad#enlatex2010]

Finger

Otra de las utilidades para obtener información es con el uso de la utilidad y su protocolo asociado finger. Esta utilidad es una de las clásicas en el mundo Unix, Linux y como es lógico puede ocasionar ciertos problemas de seguridad. Esta utilidad muestra información sobre un usuario o grupo de usuarios de una maquina conectada a la red. Su utilizacion normal es la de saber si una persona concreta tiene cuenta en un sitio determinado, ya que muestra la información relativa a los usuarios que han iniciado una sesión en un sistema local o remoto, suele mostrar el nombre completo, la ultima vez que se conecto el usuario, el tiempo de inactividad y la línea del terminal y su ubicación si es aplicable. Por defecto utiliza el puerto 79. Se ha de tener en cuenta que la maquina ha de admitir el envió de información sobre una petición de finger, sino lógicamente la petición será rechazada. La sintaxis mas básica del comando es la siguiente:

finger @nombre.servidor

Los siguientes ejemplos muestran el resultado de una consulta finger de todos los usuarios del sistema que han tenido actividad:

nacho@nacho-desktop:~$ finger
  Login     Name             Tty      Idle  Login Time   Office     Office Phone

nacho     jose i.r. saez   tty7    20:18  Nov  9 16:46 (:0)

nacho     jose i.r. saez   pts/0          Nov 10 12:26 (:0.0)
nacho@nacho-desktop:~$ finger -l
  Login: nacho                      Name: jose i.r. saez 

Directory: /home/nacho                  Shell: /bin/bash 

On since Mon Nov  9 16:46 (CET) on tty7 from :0 

    20 hours 18 minutes idle 

On since Tue Nov 10 12:26 (CET) on pts/0 from :0.0 

No mail. 

No Plan.
nacho@nacho-desktop:~$ finger @localhost
  [netbsd.bridge.nacho] 

Login Name TTY Idle When Where 

root Super-User console 3d Sun 19:14 :0 

nacho Nacho *pts/3 43 Mon 19:24 openbsd.firewall.nacho

Las opciones mas comunes del comando son las siguientes:

-l

formato largo, se utiliza en peticiones a maquinas remotas.

-s

formato corto

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies